يوم الثلاثاء 17 يوليوالعاشر، أعلنت Microsoft برنامج مكافأة الهوية التي تضع مكافأة مميزة للباحثين عن الأخطاء والصيادين الذين يكتشفون أي ثغرات أمنية في خدمات الهوية الخاصة بهم.
بحسب فيليب ميسنر ، المدير الرئيسي لمجموعة الأمان في Microsoft Security Response Center ، استثمرت Microsoft بشكل كبير في الخصوصية والأمان لحلول هوية المستهلك والمؤسسة ، وركزت على التحسين المستمر للمصادقة القوية ، وجلسات تسجيل الدخول الآمنة ، وأمان واجهة برمجة التطبيقات (API) والمهام ذات الصلة بالبنية التحتية الحيوية. وعلق قائلاً: 'لقد استثمرنا بقوة في إنشاء وتنفيذ وتحسين المواصفات المتعلقة بالهوية والتي تعزز المصادقة القوية وتسجيل الدخول الآمن والجلسات وأمان واجهة برمجة التطبيقات ومهام البنية التحتية الحيوية الأخرى ، كجزء من مجتمع خبراء المعايير ضمن هيئات المعايير الرسمية مثل IETF أو W3C أو مؤسسة OpenID '.
تم إطلاق هذا البرنامج لضمان بقاء هذه التكنولوجيا الحيوية آمنة قدر الإمكان للمستخدمين. إنه يوفر للباحثين في مجال الأخطاء والأمان فرصة الكشف عن الثغرات الأمنية في خدمات الهوية لـ Microsoft بشكل خاص. سيسمح ذلك للشركة بحل المشكلة قبل نشر تفاصيلها الفنية.
تفاصيل الدفع
سوف تتراوح مدفوعات برنامج المكافأة هذا من 500 دولار إلى 100000 دولار والتي تعتمد على تأثير الخطأ الذي وجده الباحثون.
تقديم عالي الجودة | تقديم الجودة الأساسية | تقديم غير مكتمل | |
تجاوز المصادقة الهامة | ما يصل إلى 40،000 دولار | ما يصل إلى 10000 دولار | من 1000 دولار |
متعدد العوامل المصادقة تجاوز | ما يصل إلى 100000 دولار | ما يصل إلى 50000 دولار | من 1000 دولار |
نقاط الضعف في تصميم المعايير | ما يصل إلى 100000 دولار | ما يصل إلى 30000 دولار | من 2500 دولار |
نقاط الضعف في التنفيذ على أساس المعايير | ما يصل إلى 75000 دولار | ما يصل إلى 25000 دولار | من 2500 دولار |
البرمجة النصية عبر المواقع (XSS) | ما يصل إلى 10000 دولار | ما يصل إلى 4000 دولار | من 1000 دولار |
تزوير طلب عبر المواقع (CSRF) | ما يصل إلى 20000 دولار | ما يصل إلى 5000 دولار | من 500 دولار |
خطأ في التفويض | ما يصل إلى 8000 دولار | ما يصل إلى 4000 دولار | من 500 دولار |
معايير التقديم المؤهل
يجب إرسال عمليات إرسال الثغرات الأمنية إلى Microsoft تستوفي المعايير المحددة :
- تحديد الثغرة الأمنية الحرجة أو المهمة الأصلية والتي لم يتم الإبلاغ عنها سابقًا والتي يتم إعادة إنتاجها في خدمات هوية Microsoft المدرجة ضمن النطاق.
- تحديد الثغرة الأمنية الأصلية والتي لم يتم الإبلاغ عنها سابقًا والتي تؤدي إلى الاستيلاء على حساب Microsoft أو حساب Azure Active Directory.
- حدد الثغرة الأمنية الأصلية والتي لم يتم الإبلاغ عنها سابقًا في معايير OpenID المدرجة أو مع البروتوكول المطبق في منتجاتنا أو خدماتنا أو مكتباتنا المعتمدة.
- قم بالإرسال مقابل أي إصدار من تطبيق Microsoft Authenticator ، ولكن لن يتم دفع جوائز المكافأة إلا إذا ظهر الخطأ مقابل أحدث إصدار متاح للجمهور.
- قم بتضمين وصف للمشكلة وخطوات موجزة لاستنساخ النتائج يسهل فهمها. (يسمح هذا بمعالجة عمليات الإرسال بأسرع ما يمكن ويدعم أعلى دفعة لنوع الثغرة الأمنية التي يتم الإبلاغ عنها.)
- قم بتضمين تأثير الضعف
- قم بتضمين ناقل هجوم إن لم يكن واضحًا
- بالنسبة لتطبيقات الهاتف المحمول ، يجب إعادة إنتاج أبحاث الثغرات الأمنية على أحدث إصدار من نظام التشغيل والتطبيق للجوال.
أيضًا ، يجب أن يؤثر الخطأ المكتشف على أي من الأدوات التالية:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- Activedirectory.windowsazure.com
- Activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (تطبيقات iOS و Android) *
- مؤسسة OpenID - عائلة OpenID Connect
- OpenID Connect Core
- OpenID Connect Discovery
- جلسة OpenID Connect
- أنواع الاستجابات المتعددة لـ OAuth 2.0
- أنواع OAuth 2.0 بعد الاستجابة
يعتبر البرنامج منطقيًا ، نظرًا لوجود ملايين المستخدمين المسجلين في جميع أنحاء العالم.
يمكن الحصول على مزيد من التفاصيل حول البرنامج بما في ذلك معايير الدفع وأساليب أمان البحث المحظورة ومعايير الطلبات غير المؤهلة هنا .
العلامات مايكروسوفت